Công nghệ - Sản phẩm

TetCon 2015: Trải nghiệm thực tế về các lỗ hổng bảo mật tại Việt Nam

(PCWorldVN) Hội thảo bảo mật TetCon 2015 vừa diễn ra hôm 6/1/2015 tại TP.HCM là nơi các diễn giả chia sẻ kinh nghiệm và thông tin về vấn đề an ninh dữ liệu của doanh nghiệp.

Theo nhận định của phóng viên PC World Vietnam, hấp dẫn nhất tại buổi hội thảo là nội dung trình bày về kinh nghiệm "săn lỗi" (bug bounty) của chuyên gia bảo mật Hoàng Quốc Thịnh (biệt danh g4mm4) thông qua các ví dụ cụ thể bên cạnh lối tiếp cận khá gần gũi với người tham dự.

Về cơ bản, Bug Bounty là chương trình trao thưởng cho các chuyên gia nghiên cứu bảo mật nhằm phát hiện các lỗ hổng trên website hoặc ứng dụng phần mềm, hệ thống của nhiều tổ chức trên thế giới và ở Việt Nam.

Vốn là một hacker, chuyên gia bảo mật Hoàng Quốc Thịnh không chỉ cung cấp nhiều thông tin về kinh nghiệm trong việc tìm kiếm lỗi hay tương tác với các tổ chức như Yahoo hay Google mà còn chia sẻ với khách tham dự hội thảo những mặt tốt, mặt xấu, cách hướng dẫn report lỗi cho các tổ chức có chương trình Bug Bounty.

Được biết, tại Việt Nam, hiện chỉ có Bkav là đơn vị hoạt động trong lĩnh vực bảo mật có chương trình Bug Bounty và đã được triển khai từ năm 2010.

Buổi hội thảo TetCon 2015 diễn ra với sự tham gia của gần 500 chuyên gia bảo mật tại TP.HCM.

Chủ đề về bảo mật cho doanh nghiệp cũng được khá nhiều chuyên gia bảo mật quan tâm, đặc biệt về nội dung bảo mật tầng truyền tải TLS.

Diễn giả Phạm Tùng Dương (biệt danhaka Kai) đã giới thiệu đến hội thảo góc nhìn khá chi tiết về một số vấn đề khi triển khai TLS và các vấn đề phát sinh hồi 2014 với lỗi heartbleed hay lỗi POODLE. Diễn giả này cũng đã mở rộng phạm vi đánh giá trên các hệ thống tài chính tại Việt Nam, đồng thời chỉ ra những sai sót khi triển khai TLS và đưa ra cách khắc phục.

Cũng trong buổi hội thảo này, một chủ đề khá mới và phức tạp với khách tham dự là phương thức tấn công mới trong việc khai thác đồng tiền ảo (Bitcoin). Trong chủ đề này, diễn giả Lưu Lợi - một nghiên cứu sinh tại Đại học quốc gia Singapore đưa ra bản nghiên cứu về phương thức tấn công Bitcoin có tên gọi là Block Withholding (BWH), cũng như chỉ ra chi tiết phương thức tấn công để hacker có thể khai thác được nhiều Bitcoin hơn thông qua việc phân phối nguồn tài nguyên.

Chuyên gia bảo mật Michele Spagnuolo đã có phần trình bày các vấn đề lỗ hổng bảo mật của nền định dạng dữ liệu JSON. Theo đó, lỗ hổng có tên Rosetta flash (CVE-2014-4671) có thể được hacker lợi dụng để lấy thông tin từ người dùng khi truy cập vào máy chủ bị lây nhiễm.

Cũng theo chuyên gia đến từ Google này thì lỗ hổng Rosetta flash (CVE-2014-4671) từng ảnh hưởng đến cả các website của Google, Youtube và Twitter.

Cuối cùng, hai diễn giả Phạm Trần Minh Triết và Nguyễn Văn Ngôn trình bày về dịch ngược ứng dụng trên Android để phân tích mã độc Code4HK, một loại malware đã từng xuất hiện trong thời gian diễn ra cuộc biểu tình tại Hồng Kông hồi cuối năm 2014.

PCWorld

An ninh mạng, An toàn thông tin, BKAV, Google, Heartbleed, TetCon 2015, Yahoo


© 2021 FAP
  3,350,305       1/259